"우리나라 보안 기업들은 약 30개의 상장사가 있다. 이 회사들이 힘을 합친다면 미국보다 더 강력한 제로 트러스트 프레임워크를 구성할 수 있을 듯하다"
최영철 SGA솔루션즈 대표는 14일 삼성SDS 웨스트캠퍼스에서 개최된 '2025 KIISC(한국정보보호학회) 위험관리(RMF) 및 보안평가 워크숍' 행사에서 이같이 밝혔다. 최 대표는 이날 '국방 K-RMF, 국가 N2SF(국가 망보안 체계) 그리고 제로트러스트 연계 전략'을 주제로 세션 발표에 나섰다.
그는 "보안 컴플라이언스, 즉 보안 관련 법 제도를 이행하기 위해서 우리가 준용해야 하는 규정이 최근 들어 조금 더 체계적으로 만들어지고 있다"며 "ISMS-P(한국인터넷진흥원 정보보호 및 개인정보보호관리체계 인증)라는 인증 제도가 있고, 또 공공기관의 N2SF, 국방 분야에서는 K-RMF 등이 대표적이다"고 밝혔다. 이어 "이런 보안 컴플라이언스를 만족·구현시키는 방법론이 바로 제로트러스트(Zero Trust) 전략"이라고 강조했다. RMF는 Risk Management FRAMEwork의 약어다.
최 대표는 "궁극적으로 K-RMF의 보안 통제 항목이 어떤 보안 제품이나 솔루션 기능으로 구현되는지 매핑이 가능하다면, 제로트러스트 구현 방법론으로 구현이 가능하다"며 "미국의 경우 이런 보안 컴플라이언스를 만족하기 위한 제로트러스트 방법의 구현 로드맵을 구축해 놨고, 현재 거의 종료 단계에 와 있다. 역량만 갖춘 것이 아니라 실제 액션에 돌입했고 거의 완성이 됐다는 얘기"라고 설명했다.
그는 "한국과 미국의 가이드라인 기준으로 보면 한국은 이런 역량을 갖추고는 있지만 구현을 위해 직접적으로 움직이고 있지 않기 때문에 가이드라인을 가지고 실제 엔터프라이즈를 구현할 때 많은 벽에 부딪히게 되는 것"이라며 "제로트러스트와 보안 컴플라이언스의 관계를 증명하는 것이 중요하다"고 말했다.
그러나 최 대표는 "탄탄한 이론적인 배경과 더불어 구현하는 단계에서도 단일 제품 만으로 소화할 수 없는 영역이기 때문에 최소한의 제로트러스트 프레임워크가 필요하다"면서 "그러나 우리 기업들의 안타까운 부분은 글로벌 기업들의 경우 대부분 M&A(기업결합)을 통해 엔드 포인트, 네트워크, 시스템 등의 모든 보안 분야를 결합하는 추세이지만, 현재 우리나라 기업들은 여전히 각자 운영되고 있는 형태다. 한 회사가 한 제품만 들고 있는 형국이기 때문에 이 제로트러스트 프레임워크를 구축하는 데 한계가 있다"고 지적했다.
끝으로 그는 "반대로 우리가 만약 API 연계 체계를 구축하고 활성화할 수 있다면 시장에서 우리나라 보안 기업들은 미국보다 더 앞서갈 수 있다"고 역설했다.
관련기사
- "제로트러스트 보안 진행중 한국기업 8% 불과"2025.10.30
- "금융권 자율보안, 제로트러스트 적용 필수"2025.10.30
- 넷스카우트, 제로트러스트 보안 플랫폼 '옴니스' 발표2025.10.14
- 옥타코 "제로트러스트 인증, 피싱 저항성 확보해야"2025.10.01
한편 이날 '2025 KIISC 위험관리(RMF) 및 보안평가 워크숍' 행사는 국방, 공공, 민간 분야를 아우르는 사이버보안 체계의 안전성 및 신뢰성을 확보하고 조직의 지속가능한 운영과 성장을 위해 개최됐다. 한국정보보호학회 위험관리연구회와 한국정보보호학회 보안평가연구회가 공동으로 주관한 행사다. 국가 망보안 체계(N2SF)와 제로트러스트 연계, RMF에서 인공지능(AI) 에이전트 보안 등 다양한 보안 관련 주제를 바탕으로 심도 깊은 논의가 이뤄졌다.
곽진 한국정보보호학회(KIISC) RMF연구회 위원장(아주대 혁신융합원장 겸 사이버보안학과 교수)은 개회사에서 "위험평가, 보안평가, 인증 등 다양한 이슈가 있었다"며 "워크숍에서 다양한 부분을 다룰 수 있을 거라 기대한다"고 말했다.
